ISSAF即信息系统安全评估框架(Information Systems Security Assessment Framework)是另外一种开放源代码的安全性测试和安全分析框架。为了解决安全评估工作的逻辑顺序问题,该框架以分为若干个领域(domain),不同领域评估目标系统的不同部分,且可以根据实际情况对每个领域进行相应调整,把这一构架与日常业务的生命周期相结合,可以充分满足企业安全测试的精准性,完整性,高效性的需求。
ISSAF兼顾了安全测试的技术层面和管理层面,在技术方面,他有一整套关键的规则和程序,形成了一套完备的评估程序,在管理层面,它明确了在整个测试过程中应当遵循的管理要择和最佳实践
ISSAF主张安全评估是一个过程,而不是一次审计
渗透框架应当分为:计划,评估,修复,评审以及维护阶段,应当有更为完善的标准